Serviços de inventário de recursos para o VMware Engine

O Inventário de recursos do Cloud fornece serviços de inventário com base em um banco de dados de série temporal que permite pesquisar, exportar e analisar metadados de recursos associados aos recursos integrados. O Inventário de recursos do Cloud é um serviço de inventário totalmente gerenciado em que é possível controlar o acesso aos dados do Inventário de recursos do Cloud até cada tipo de recurso e política. Isso permite aproveitar a eficiência de um inventário centralizado e conseguir privilégio mínimo quando necessário.

Os principais recursos ou ativos do VMware Engine estão disponíveis na API Cloud Asset e também na interface do Inventário de recursos do Cloud em "Identity and Access Management" no console do Google Cloud. Os recursos da API Cloud Asset incluem:

Para esses recursos, a interface do Cloud Asset Inventory e a API Cloud Asset ativam os seguintes recursos:

  • Pesquisa e visibilidade:pesquise metadados do recurso, incluindo políticas do IAM associadas a ele, usando uma linguagem de consulta personalizada.

    • SearchAllResources: pesquisa todos os recursos Google Cloud no escopo especificado, como projeto, pasta ou organização.
    • SearchAllIamPolicies: pesquisa todas as políticas do IAM no escopo especificado, como projeto, pasta ou organização.
    • ListAssets: confira uma lista paginada dos recursos em um determinado carimbo de data/hora.
    • QueryAssets: emite um job que consulta recursos usando uma instrução SQL compatível com o BigQuery SQL.
    • Essas APIs também permitem que você use a Pesquisa global no console do Google Cloud para encontrar recursos do VMware Engine. Use a barra de pesquisa global para pesquisar o nome de qualquer recurso do VMware Engine disponível na API Cloud Asset. O recurso aparece na lista de resultados.

    Para pesquisar recursos do VMware Engine ou políticas do IAM usando o console do Cloud Asset Inventory, faça o seguinte:

    1. Acesse a página Inventário de recursos no console do Google Cloud.

    Acessar o inventário de recursos

    1. Para definir o escopo da pesquisa, abra a caixa de lista Projetos na barra de menus e selecione a organização, a pasta ou o projeto a ser consultado.

    2. Selecione a guia Recurso ou Política do IAM.

    3. Em Filtrar resultados, marque a caixa ao lado dos filtros escolhidos.

    Os recursos ou políticas correspondentes à consulta são listados na tabela Resultado.

    Para visualizar a consulta como um comando da Google Cloud CLI, selecione Visualizar consulta.

    Para exportar os resultados, selecione Fazer o download do CSV.

  • Monitoramento e análise:é possível exportar todos os metadados de recursos em um determinado carimbo de data/hora ou exportar o histórico de alterações de eventos durante um período específico. Além disso, você também pode monitorar as mudanças de recursos se inscrevendo para receber notificações em tempo real.

    • ExportAssets: exporta recursos com tipos de tempo e recurso para um determinado local do Cloud Storage ou uma tabela do BigQuery.
    • BatchGetAssetsHistory: o lote recebe o histórico de atualizações dos recursos que se sobrepõem a uma janela de tempo.
    • Feed: um feed de recursos usado para exportar atualizações de recursos para um destino. Configure canais do Cloud Pub/Sub para receber atualizações em tempo real sobre qualquer alteração na configuração de recursos, reduza a frequência das exportações e alcance o monitoramento contínuo com facilidade.

    Para analisar quais políticas do IAM têm acesso a quais recursos Google Cloud usando o console do Cloud Asset Inventory, faça o seguinte:

    1. No console do Google Cloud, acesse a página Policy Analyzer.

      Acessar a página "Análise de políticas"

    2. Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.

    3. No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.

    4. Escolha o recurso e o papel ou a permissão a serem verificados:

      1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
      2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
      3. Clique em Adicionar seletor.
      4. No campo Parâmetro 2, selecione Papel ou Permissão.
      5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
      6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
    5. Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.

    6. No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões ou papéis especificados no recurso especificado.

    As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.

  • Análise de políticas do IAM:analise as APIs de políticas para descobrir quem tem acesso a cada conteúdo.

    • AnalyzeIamPolicy: analisa as políticas do IAM para responder quais identidades têm quais acessos em quais recursos.
    • AnalyzeIamPolicyLongrunning: analisa políticas do IAM de maneira assíncrona para responder quais identidades têm quais acessos em quais recursos e grava os resultados da análise em um destino do Cloud Storage ou do BigQuery.

A seguir